本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
網域組態可讓您指定要連線的自訂完整網域名稱 (FQDN) AWS IoT Core。使用客戶受管網域 (也稱為自訂網域) 有許多好處: 您可以公開自己的網域或公司自己的網域給客戶,用於品牌用途; 您可以輕鬆變更自己的網域以指向新的代理程式; 您可以支援多租用戶,為具有相同網域的客戶提供服務 AWS 帳戶; 而且您可以管理自己的伺服器憑證詳細資訊, 例如用來簽署憑證的根憑證授權機構 (CA)、 簽章演算法 憑證鏈深度 和憑證的生命週期。
使用自訂網域來設定網域組態的工作流程包含下列三個階段。
在憑證管理器中註冊伺服器 AWS 憑證
使用自訂網域建立網域組態之前,您必須在 AWS Certificate Manager (ACM) 中註冊伺服器憑證鏈。您可以使用下列三種類型的伺服器憑證。
注意
AWS IoT Core 如果憑證包含在 Mozilla 信任的 ca-bundle
憑證需求
如需將憑證匯入 的要求,請參閱匯入憑證的先決條件ACM。除了這些需求之外, AWS IoT Core 會新增下列需求。
分葉憑證必須包含值為 serverAuth(TLS Web 伺服器身分驗證) 的擴充金鑰用量 x509 v3 延伸。如果您向 請求憑證ACM,系統會自動新增此延伸。
憑證鏈深度上限為 5 個憑證。
憑證鏈大小上限為 16KB。
支援的密碼編譯演算法和金鑰大小包括 RSA 2048 位元 (RSA_2048) 和 ECDSA 256 位元 (EC_prime256v1)。
針對多個網域使用一個憑證
如果您計劃使用一個憑證來涵蓋多個子網域,請在一般名稱 (CN) 或主體別名 (SAN) 欄位中使用萬用字元網域。例如,使用 *.iot.example.com 來涵蓋 dev.iot.example.com、qa.iot.example.com 和 prod.iot.example.com。每個 FQDN都需要自己的網域組態,但多個網域組態可以使用相同的萬用字元值。CN 或 SAN 必須涵蓋您想要用作自訂網域FQDN的 。如果 SANs 存在,則會忽略 CN,且 SAN 必須涵蓋您要用作自訂網域FQDN的 。此涵蓋範圍可以是完全相符或萬用字元相符。驗證萬用字元憑證並向帳戶註冊後,該區域中的其他帳戶將無法建立與憑證重疊的自訂網域。
下列各節說明如何取得每種類型的憑證。每個憑證資源都需要您建立網域組態時使用ACM的 Amazon Resource Name (ARN)。
ACM產生的公有憑證
您可以使用 RequestCertificate 產生自訂網域的公有憑證API。當您以這種方式產生憑證時,ACM 會驗證您對自訂網域的擁有權。如需詳細資訊,請參閱《AWS Certificate Manager 使用者指南》中的請求公有憑證。
由公有 CA 簽署的外部憑證
如果您已經擁有由公有 CA (包含在 Mozilla 信任的 ca-bundle 中的 CA) 簽署的伺服器憑證,您可以使用 ACM ImportCertificate 直接將憑證鏈匯入 API。若要進一步了解此任務以及必要條件和憑證格式需求,請參閱匯入憑證。
由私有 CA 簽署的外部憑證
如果您已經擁有由私有 CA 簽署或自我簽署的伺服器憑證,則可以使用憑證來建立您的網域組態,但也必須在 ACM 中建立額外的公有憑證,以驗證網域的擁有權。若要這樣做,ACM請使用 ImportCertificate 在 中註冊您的伺服器憑證鏈API。若要進一步了解此任務以及必要條件和憑證格式需求,請參閱匯入憑證。
建立驗證憑證
將憑證匯入 後ACM,請使用 RequestCertificate 產生自訂網域的公有憑證API。當您以這種方式產生憑證時,ACM 會驗證您對自訂網域的擁有權。如需詳細資訊,請參閱請求公有憑證。建立網域組態時,請使用此公有憑證作為您的驗證憑證。
建立網域組態
您可以使用 在自訂網域上建立可設定的端點CreateDomainConfigurationAPI。自訂網域的網域組態包含下列項目:
-
domainConfigurationName識別網域組態的使用者定義名稱。以
IoT:開頭的網域組態名稱會保留給預設端點,且無法使用。此外,此值對於您的 必須是唯一的 AWS 區域。 -
domainName您的裝置用來連線FQDN的 AWS IoT Core。 AWS IoT Core 會利用伺服器名稱指示 (SNI) TLS延伸來套用網域組態。裝置在連線並傳遞與網域組態中指定之網域名稱相同的伺服器名稱時,必須使用此延伸。
-
serverCertificateArns您向 註冊ARN的伺服器憑證鏈的 ACM。 AWS IoT Core 目前僅支援一個伺服器憑證。
-
validationCertificateArn您在 中產生的公有憑證ARN的 ,ACM以驗證自訂網域的擁有權。如果您使用公開簽署或 ACM 產生的伺服器憑證,則不需要此引數。
-
defaultAuthorizerName (optional)要在端點上使用的自訂授權方名稱。
-
allowAuthorizerOverride布林值,指定裝置是否可以透過在請求的HTTP標頭中指定不同的授權方來覆寫預設授權方。如果指定了
defaultAuthorizerName的值,則需要此值。 -
serviceTypeAWS IoT Core 目前僅支援
DATA服務類型。當您指定 時DATA, 會 AWS IoT 傳回端點類型為 的端點iot:Data-ATS。 -
TlsConfig(選用)指定網域TLS組態的物件。如需詳細資訊,請參閱在網域組態中TLS設定設定。
-
serverCertificateConfig(選用)指定網域之伺服器憑證組態的物件。如需詳細資訊,請參閱用於堆疊OCSP的伺服器憑證組態。
下列 AWS CLI 命令會建立 iot.example.com 的網域組態。
aws iot create-domain-configuration --domain-configuration-name "myDomainConfigurationName" --service-type "DATA" --domain-name "iot.example.com" --server-certificate-arnsserverCertARN--validation-certificate-arnvalidationCertArn
注意
建立網域組態後,可能需要最多 60 分鐘的時間,直到 為您的自訂伺服器憑證 AWS IoT Core 提供服務為止。
如需詳細資訊,請參閱管理網域組態。
建立DNS記錄
註冊伺服器憑證鏈並建立網域組態後,請建立DNS記錄,讓您的自訂網域指向 AWS IoT 網域。此記錄必須指向 類型的 AWS IoT 端點iot:Data-ATS。您可以使用 DescribeEndpoint 取得端點API。
下列 AWS CLI 命令說明如何取得您的端點。
aws iot describe-endpoint --endpoint-type iot:Data-ATS
取得iot:Data-ATS端點後,請建立從自訂網域到此 AWS IoT 端點CNAME的記錄。如果您在相同的 中建立多個自訂網域 AWS 帳戶, 會將它們別名為這個相同的iot:Data-ATS端點。
故障診斷
如果您無法將裝置連線至自訂網域,請確定 AWS IoT Core 已接受並套用您的伺服器憑證。您可以使用 AWS IoT Core 主控台或 來驗證 AWS IoT Core 是否已接受您的憑證 AWS CLI。
若要使用 AWS IoT Core 主控台,請導覽至網域組態頁面,然後選取網域組態名稱。在 Server certificate details (伺服器憑證詳細資訊) 區段中,檢查狀態和狀態詳細資訊。如果憑證無效,請在 中ACM將其取代為符合上一節所列憑證需求的憑證。如果憑證具有相同的 ARN, AWS IoT Core 會將其提取並自動套用。
若要使用 檢查憑證狀態 AWS CLI,請呼叫 DescribeDomainConfigurationAPI並指定您的網域組態名稱。
注意
如果您的憑證無效, AWS IoT Core 將繼續提供最後一個有效的憑證。
您可以使用下列 openssl 命令,檢查正在端點上為哪個憑證提供服務。
openssl s_client -connect custom-domain-name:8883 -showcerts
-servername custom-domain-name
